Yeni Braodo Stealer kampanyası, Github’u yüklemeleri barındırmaya ve kaçınma algılamasına kötüye kullanıyor

   Haziran 26, 2025  Posted in CyberSecurityNews


Braodo Stealer

Güvenlik araştırmacıları Any. run Braodo Stealer’ı teslim eden yeni bir kötü amaçlı yazılım kampanyası, kamu Github depolarına yüklemelerini ağırlamak ve sahneye ev sahipliği yapmak için güveniyor.

Bu kampanya, tespit ve analizi karmaşıklaştırmak için birden fazla kaçırma tekniği ve komut dosyası katmanları kullanıyor ve bu da geleneksel güvenlik araçlarının yakalamasını zorlaştırıyor.

Braodo Stealer hakkında bildiklerimiz

Braodo veri çalmak için tasarlanmıştır. Analiz sırasında, düşük bir profil tutarken hassas bilgileri tüketebilir.

Google Haberleri

Son yük, Python’da yazılmıştır, Pyobfuscate ile gizlenmiştir ve komut dosyasına eklenen, muhtemelen kimlik bilgilerini veya yapılandırma verilerini gizlemek için kullanılan özel baz 64 kodlu dizeler içerir.

Şifreleme veya paketleyiciler kullanmaz. Bunun yerine, günlük komut dosyası araçlarının gürültüsünü gizler ve tespitten kaçınmak için aşamalı teslimata dayanır.

Her aşama kendisinden sonra temizlenir ve geride kalan eser sayısını azaltır. Bir kez yürütüldüğünde, stealer ilk arşivi sessizce siler ve işe yarar.

Braodo saldırısının adım adım dökümü

Tam saldırı zincirine daha yakından bakalım Any.Run Sandbox Aşağıda belirtilen oturum.

Etkileşimli ortam, ilk komut dosyası yürütmesinden son yük sunumuna kadar saldırının her aşamasını güvenli bir şekilde gözlemlemeyi mümkün kılar.

Güvenlik ekipleri için bu tür görünürlük çok önemlidir. Analistlerin gerçek zamanlı olarak kötü niyetli davranışları izlemelerine, tehditlerin aşamalar arasında nasıl geliştiğini anlamalarına ve üretim sistemlerini riske atmaya maruz kalmadan net kanıt toplamalarına yardımcı olur.

Braodo Stealer ile Analiz Oturumunu Görüntüle

Braodo Stealer herhangi birinin içinde tespit edildi. Run Sandbox

İlk yarasa dosyası

Kampanya .bat dosyasının yürütülmesi ile başlar. İlk bakışta zararsız görünse de, komut dosyası CMD.EXE kullanarak PowerShell’i başlatan bir komut içerir.

Daha da önemlisi, PowerShell gizli modda çalıştırılır, yani işlemi kullanıcıya görünmez tutarak konsol penceresi görünmez. Bu adım, sessiz, çok aşamalı bir enfeksiyon zincirinin başlangıcını işaret eder.

Bu kampanyada kullanılan yarasa dosyaları gizlenir ve analizi engellemek için yanıltıcı yorumlar içerir
Investigate malware in real time, uncover every stage of an attack, and make faster security decisions; all in a safe and intuitive environment.  -> Try ANY.RUN now 

GitHub’dan İndir

PowerShell’i kullanarak, kötü amaçlı yazılım bir sonraki aşamayı indirmek için bir kamu Github deposuna ulaşır.

İndirilen dosya başka bir yarasa senaryosuancak kasıtlı olarak bir .png dosyası olarak gizlenir, tespiti atlatabilir ve transit veya dinlenmede daha az şüphe uyandırabilir.

Dosya % Temp % dizinine kaydedilir ve hemen yürütülür ve enfeksiyonu sürdürür. Bu etkinlik açıkça yakalandı Herhangi bir.run’un komut dosyası izleyicisi.

.Bat dosyası herhangi bir.run’un komut dosyası izleyicisi tarafından keşfedildi

Script izleyici, manuel deobfuscation gerektirmeden veya ham kütüklerden kazma yapılmasını gerektirmeden bu eylemleri otomatik olarak eşler.

Her fonksiyon çağrısını, URL’yi indirmeyi ve yürütme zaman damgasını gösterir ve analistlerin kötü amaçlı yazılımların davranışını minimum çaba ile hızla yeniden inşa etmesine yardımcı olur.

Temizlik ve Kalıcılık

İkinci aşamalı yarasa dosyası çalıştığında, başka bir PowerShell komut dosyası başlatır. Bu komut dosyası birden çok görev gerçekleştirir:

  • Eserleri kaldırır Analizi daha zor hale getirmek için önceki aşamalardan.
  • Kuvvetler TLS 1.2 Uzak ana bilgisayarla şifreli bağlantıların sağlamak için.
  • Ek bir yük indirir Raw.githubusercontent’den[.]com, Github’ın ham içerik sunumunu tekrar kötüye kullanıyor.
Github istismarı, herhangi bir kişinin yardımıyla görülebilir. Run’un senaryo izleyicisi
  • Bu yükü Başlangıç ​​klasörüsistem yeniden başlatıldığında otomatik olarak çalışmasına izin verir.
Herhangi birinin içinde maruz kalan başlangıç ​​dizinde dosyaların oluşturulması.

Bu adım kalıcılığı sağlar ve enfekte sistem üzerinde kontrolün korunmasına yardımcı olur.

Zipte son yük

Ardından, komut dosyası ana kötü amaçlı yazılım bileşenini indirir: Braodo Stealer, bir zip arşivi olarak teslim edilir.

ZIP dosyası, düşük görünürlüğü nedeniyle kötü amaçlı yazılım kampanyalarında yaygın olarak istismar edilen bir konum olan C: \ Users \ public \ dizinine çıkarılır.

Bu eylem, herhangi birinde de görülebilir. Run’un komut dosyası izleyicisi:

.ZIP dosyası herkesin içinde algılanan genel dizine çıkarıldı. Run Sandbox

Çıkarılmış Python betiği daha sonra python.exe kullanılarak yürütülür. Bu noktada, Braodo Stealer sistemde aktif hale gelir ve amaçlanan görevlerini yerine getirmeye başlar, yani, Veri toplama ve eksfiltrasyon.

Komut dosyasının kendisi Pyobfuscate ile gizlenir ve yapılandırma ayrıntılarını veya gömülü yükleri tutabilen eklenmiş baz 64 kodlu dizeler içerir.

Yetkilendirme Sonrası Temizlik

Yürütmeden sonra, komut dosyası orijinal zip arşivini siler ve geride kalan birkaç izden birini siller. Bu temizleme adımı adli analizi daha zorlaştırır ve kötü amaçlı yazılımın daha uzun süre tespit edilmesine yardımcı olur.

Bununla birlikte, RUN’un etkileşimli sanal alanının içinde, saldırının her aşaması açıkça günlüğe kaydedilmiş ve izlenebilir.

Analistler, ilk komut dosyasından son temizliğe kadar tam yürütme zincirini ayrıntılı olarak görebilir ve bu da stealer’ın davranışını anlamayı ve uzlaşma göstergelerini toplamayı çok daha kolay hale getirebilir.

Bu saldırının analistler, SOC ekipleri ve işletmeler için ne anlama geldiğini

Braodo Stealer kampanyası büyüyen bir eğilimi vurguluyor: Saldırganlar GitHub gibi meşru platformlara ve günlük komut dosyalarına sessizce geçmek için eğiliyor

Sistemler. Siber güvenlik ve iş dünyasında farklı roller için bunun belirli sonuçları vardır:

  • Analistler için: Braodo gibi çok aşamalı tehditler komut dosyaları, dosya eylemleri ve sistem değişiklikleri arasında tam görünürlük gerektirir. Any.Run gibi araçlar, her adımı otomatik olarak eşleyerek araştırmaları hızlandırmaya yardımcı olur.
  • SOC ekipleri için: Sadece statik tespit veya geleneksel uç nokta araçlarına güvenmek yeterli değildir. Özellikle ilk erişim ve yük dağıtım sırasında gerçek zamanlı davranışlarda görünürlük, gizli kötü amaçlı yazılımları erken yakalamak için gereklidir.
  • İşletmeler için: Bir e -postaya veya dosyaya gömülü tek bir kötü amaçlı komut dosyası tam sistem uzlaşmasına yol açabilir.
    • Çalışan cihazları, bulut erişimi ve zayıf yanal izleme, Braodo gibi gizli stealer’ları hassas veriler ve uyumluluk için gerçek bir tehdit haline getirir.

İster küçük bir ağı savunuyor olun, ister yüzlerce uç noktayı izliyor olun, bunun gibi gerçek dünya analizi, çatlaklardan geçmeden önce gelişen tehditlerin önünde kalmanıza yardımcı olabilir.

Tehditleri hasara neden olmadan daha hızlı tespit edin

Braodo gibi kampanyalar, modern kötü amaçlı yazılımların karışmak için nasıl oluşturulduğunu gösteriyor. Ancak, doğru araçlarla, en katmanlı, gizli enfeksiyonlar bile birkaç dakika içinde ortaya çıkabilir.

RUN’un etkileşimli kum havuzu güvenlik ekiplerine yardımcı olur:

  • Tehditleri erken tespit edin İhlallere dönüşmeden önce
  • Araştırmaları hızlandırın Analistlere şüpheli davranışlara tam görünürlük vererek
  • Yanıt süresini azaltın Tahmin çalışmasını ortadan kaldıran açık bilgilerle
  • Daha iyi kararlar verin Bağlam açısından zengin analiz ile güvenebilirsiniz
  • Altyapınızı koruyun Kötü amaçlı yazılımları güvenli, izole bir ortamda test ederek
  • Daha etkili işbirliği yapın Paylaşılan oturumlar ve takım tabanlı iş akışları ile

14 günlük denemenize başlayın. Run ve güvenli, kontrollü bir ortamda kötü amaçlı yazılım davranışına tam görünürlük yaşayın.



Source link